8455新澳门路线网址-澳门新葡萄京开户注册

鸵鸟区块链

SharkTeam独家分析 | 闪电贷攻击:AutoSharkFin被黑事件分析

SharkTeam 2021-10-07 08:00
摘要:

FINS代币断崖式大跌,几乎归零。

北京时间10月2日,BSC上收益聚合平台AutoSharkFin遭受闪电贷攻击,攻击者共获利1338个BNB(共计58.1万美金)。FINS代币断崖式大跌,几乎归零。这也是AutoShark在今年5月25日收到闪电贷之后,第二次受到闪电贷攻击。

图片1.png

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希翼后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

以其中一次为例简述攻击流程如下:

1. 攻击者闪电贷借出10382BNB和430万USDC;

2. 攻击者将10382BNB和430万USDC投入到USDC+BNB的交易对中,由于池中流动性比较低,黑客占据交易池大部分份额;

3. 黑客通过重复的存入和提取获得了大量15K FINS代币奖励,最终移除流动性,完成闪电贷操作;

4. 黑客将15K FINS代币质押,获得257枚BNB。

黑客重复以上攻击多次,共获利1388枚BNB(约58万美金)。

图片2.png

由于AutoSharkFin平台的USDC+BNB的交易池流动性比较低,使得攻击者通过闪电贷获取大量USDC、BNB,并投入到交易对中使其获得大量的LP通证来获得流动性的奖励。通过不断地存入和提取操作,获得大量的FINS代币奖励,最终将奖励的FINS投入到质押池中获取大量BNB,最终攻击者获利58.1万美金。事后,AutoSharkFin用近一百万美金的费用进行了FINS代币的回购,一定程度上稳定了市场和投资者信心。但代币经济学设计上的失误和合约实现上的漏洞却更加值得投资者关注。

二、安全建议

此次事件是又一次与闪电贷有关的安全事件,DeFi项目的业务逻辑设计复杂,涉及的经济学计算和参数较多,却不同项目和协议之间可组合性极其丰富,很难预测,非常容易出现安全漏洞。如下表,利用闪电贷这种新型产品进行攻击的DeFi事件在过去的一年里层出不穷,已增加到43起。通常闪电贷攻击包括“哄抬套利”、“操纵预言机”、“重入攻击”和“技术漏洞”四种,本次属于基于利用“操纵预言机”进行的闪电贷攻击。

图片3.png 

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目方应与专业的安全审计企业合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

图片15.png

==

和2万人一起加入鸵鸟社群

添加QQ群:645991580

添加TG群:鸵鸟中文社区 https://t.me/tuoniaox 

声明: 鸵鸟区块链所有发布内容均为原创或授权发布,如需转载,请务必注明文章编辑以及来源:鸵鸟区块链(微信公众号:MyTuoniao),任何不敬重原创的行为鸵鸟区块链都将进行责任追究!鸵鸟区块链报道和发布内容,不构成任何投资建议。

SharkTeam

——

65 篇 作品

8455新澳门路线网址|澳门新葡萄京开户注册

XML 地图 | Sitemap 地图